Descubierto el Primer Bootkit para Linux, Aumentan las Preocupaciones de Seguridad

Investigadores de ciberseguridad han identificado el primer bootkit conocido que apunta a sistemas Linux, señalando un desarrollo preocupante en la evolución de las amenazas cibernéticas. El malware, llamado “Bootkitty,” aprovecha la Interfaz de Firmware Extensible Unificada (UEFI) para comprometer el proceso de arranque y desplegar cargas maliciosas antes de que el sistema operativo se inicie. Expertos de la firma de seguridad Eset analizaron el malware después de que apareciera en VirusTotal el 5 de noviembre de 2024. Describieron a Bootkitty como un rootkit avanzado capaz de reemplazar el cargador de arranque y modificar el núcleo durante la inicialización del sistema, otorgando a los atacantes control total sobre los sistemas comprometidos.

Bootkitty utiliza un certificado autofirmado, lo que requiere que los atacantes ya tengan acceso al sistema para eludir las protecciones de Secure Boot instalando su propio certificado. Esto sugiere que Bootkitty es parte de una cadena de ataque más amplia. Además, los investigadores descubrieron un módulo de núcleo potencialmente relacionado, llamado BCDropper, diseñado para ejecutar funciones maliciosas adicionales, ampliando aún más el alcance de la amenaza.

El descubrimiento de Bootkitty es significativo, ya que marca la primera instancia de un bootkit dirigido a sistemas Linux. Hasta ahora, los bootkits se habían dirigido exclusivamente a dispositivos Windows, como BlackLotus en 2023 y ESPecter en 2021, que podían eludir las protecciones de Secure Boot. Los investigadores de Eset señalaron que Bootkitty actualmente parece funcionar más como una prueba de concepto que como una amenaza cibernética completamente desarrollada. Por el momento, su impacto está limitado a ciertas versiones de Ubuntu, reduciendo su amenaza inmediata al ecosistema Linux más amplio. Sin embargo, los expertos advierten que su existencia resalta la necesidad de estar preparados ante posibles amenazas futuras a medida que los atacantes perfeccionan estas técnicas.

Para protegerse de amenazas como Bootkitty, los investigadores recomiendan asegurarse de que el Secure Boot UEFI esté habilitado y de mantener actualizado el firmware del sistema, el software de seguridad y los parches del sistema operativo. Las actualizaciones regulares a la lista de revocación UEFI también son esenciales para bloquear certificados comprometidos. Aunque la versión actual de Bootkitty representa un riesgo limitado, su descubrimiento sirve como un recordatorio crítico del aumento de la sofisticación de las amenazas cibernéticas dirigidas a sistemas Linux y la importancia de implementar medidas de seguridad proactivas para mitigar riesgos emergentes.

Source: BankInfoSecurity

La European Cyber Intelligence Foundation es un think tank sin fines de lucro especializado en inteligencia y ciberseguridad, que ofrece servicios de consultoría a entidades gubernamentales. Para mitigar posibles amenazas, es importante implementar medidas adicionales de ciberseguridad con la ayuda de un socio de confianza como INFRA www.infrascan.net, o puedes intentarlo tú mismo usando check.website.